MovableType 3.32にクロスサイトスクリプティングの脆弱性が!

【この記事の所要時間 : 約 3 分

Movable Type 新バージョンとパッチの提供について

Movable Typeユーザーの皆様
Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆弱性が確認されました。対策を施した新バージョンをリリースいたします。
概要:
Movable Typeの管理画面、検索機能、コメント機能においてクロスサイトスクリプティングの脆弱性があることを、発見された方よりご指摘頂き、弊社にて確認いたしました。
影響のあるバージョン:
現在、Movable Type 3.2以降およびMovable Type Enterpriseにおいてこの脆弱性があることを確認しております。一部の脆弱性については、それ以前のバージョンにも含まれる可能性があります。
対処方法:
9/26 11:15より、対策を施したMovable Typeの新バージョン(Movable Type 3.33)をリリースいたします。すみやかにバージョンアップをお願い致します。
Movable Type 3.2-ja-2 以前のバージョンをお使いのお客様へ:
脆弱性回避のために、速やかにMovable Type 3.33へアップグレードしていただくよう、お願いいたします。Movable Type 3.33には、今回のセキュリティ脆弱性の修正以外にも、数多くの点で機能と信頼性が向上しています。

ということで、今まで本ブログで使っていたMovableType 3.32にクロスサイトスクリプティングの脆弱性があるとのことで、MovableType 3.33にアップグレードしなさい!とSixApartからのお達し。
過去にMTのアップグレードは何回かやっているので、
MovableType3.31-ja (日本語版)を入れた!
Movable Type 3.2-ja-2 から 3.3-ja へアップグレード
Movable Type 3.17-ja から 3.2-ja-2 へアップグレード
今回もそれに習って基本的には同じことをする。
MT 3.33をダウンロードし、プラグインを忘れずに入れて、mt-config.cgi は、3.32のものをそのままコピーして使用することに。
あとは、すべてを再構築。これで完了。
まーMovable Typeのアップグレードは手馴れたものになりました。
(追記)
MovableType 3.3-ja の「指定日投稿」ができない?」にもある通り、MTのアップグレード時には、「run-periodic-tasks」を755にして実行権限を付与するのを忘れると、指定日投稿ができないので忘れずにこれも直しておくこと!

ブログ飯 個性を収入に変える生き方
染谷 昌利
インプレスジャパン
売り上げランキング: 24,525
スポンサーリンク
レクタングル(大)広告
  • このエントリーをはてなブックマークに追加
スポンサーリンク
レクタングル(大)広告

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です